本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 AWS Config 中記錄資源類型
您可以指定 AWS Config 自動追蹤私有資源類型,並以組態項目來記錄這些資源的變更。如此即可檢視這些私有資源類型的組態歷史記錄,以及編寫 AWS Config 規則 規則以驗證組態最佳實務。勾點擴充功能需要 AWS Config。
若要讓 AWS Config 自動追蹤私有資源類型:
-
通過 CloudFormation 管理資源。這包括透過 CloudFormation 執行所有建立,更新和刪除資源的操作。
注意
如果您使用 IAM 角色來執行堆疊操作,該 IAM 角色必須具有呼叫下列 AWS Config 動作的許可:
-
設定 AWS Config 以記錄所有資源類型。如需詳細資訊,請參閱《AWS Config 開發人員指南》中的使用 AWS CLI 記錄第三方資源的組態。
注意
AWS Config 不支援包含定義為必要和唯寫屬性的私有資源記錄。
在用來建立 AWS Config 組態項目的結構描述中,原本就不會傳回定義為唯寫的資源屬性。因此,如果包含定義為唯寫和必要的屬性,則會導致建立組態項目失敗,因為將不存在必要屬性。若要檢視用來建立組態項目的結構描述,您可以檢閱 DescribeType 動作的
schema屬性。
如需有關組態項目的詳細資訊,請參閱《AWS Config 開發人員指南》中的組態項目。
防止在組態項目中記錄感應性屬性
您的資源類型可能包含您認為機密資訊 (例如密碼、秘密或其他機密資料) 的內容,意即您不想記錄為組態項目的一部分。若要防止將內容記錄在組態項目中,您可以在資源類型結構描述的 writeOnlyproperties 清單中包含該內容。使用者可指定列為 writeOnlyproperties 的資源屬性,但不會由 read 或 list 請求傳回。
如需詳細資訊,請參閱《CloudFormation 使用者指南》中的 writeOnlyProperties。
